基于OpenSSLCA证书的SSH免密登录方法和系统与流程

本发明涉及数据安全，尤其涉及一种基于openssl ca证书的ssh免密登录方法和系统。

背景技术：

1、随着自动驾驶环卫行业的迅速发展，越来越多的自动驾驶环卫车辆接入物联网，导致大量数据的生成。在这个过程中，涉及的数据越来越敏感，需要更加严格的信息安全保障。尽管公司在过去几年已经采取了多项措施来加强信息安全，但随着技术不断进步和攻击者水平提高，安全威胁也变得更为普遍和严峻。主要的数据风险包括数据泄漏和盗窃。这些问题已经成为互联网上最为常见和严重的安全威胁之一。攻击者可能通过暴力破解密码或利用弱密码等方式攻击服务器，从而获取敏感信息。一旦攻击成功，攻击者可以篡改、删除或勒索数据。

技术实现思路

1、针对上述技术问题，本发明旨在构建一种基于openssl ca证书的ssh免密登录技术，以确保在客户端与设备终端进行远程登录和数据交互时实现数据安全加密，从而防止泄漏。

2、本发明采用openssl构建私有ca(可签发证书的机构，可自己在服务器上自建ca)，设备终端预先嵌入ca的公钥文件，ca颁发证书给客户端，客户端可使用ca签发的证书进行ssh免密登录。新客户端要访问设备终端时，只需向ca申请一个签名公钥即可实现免密登录。此证书还可用于文件的加解密，确保在传输和存储过程中的数据安全性。即使数据泄漏，攻击者也无法查看文件内容。这一技术从源头保护数据，为设备终端管理和敏感数据提供了强有力的保护。

3、为此，本发明的技术方案提供了一种基于openssl ca证书的ssh免密登录方法，其包括如下步骤：s1：ca端采用openssl自签证书，构建为私有ca，然后生成自签证书文件并从该自签证书文件中提取属于ca自身的公钥文件，并将该ca自身的公钥文件发送至设备终端；s2：客户端向ca端发送证书签名请求文件，ca端从证书请求文件中检验请求文件是否合法，如合法则接受客户端签名请求，如不合法则拒绝；s3：ca端通过对提取出的客户端公钥文件使用自签证书进行二次签发，生成通用的非对称加密公钥签名文件，并将该签名文件返回至客户端；s4：客户端保存接收到的公钥签名文件以及相对应的私钥文件，并在后续需要登录设备终端时，使用公钥证书、签名以及私钥文件，免密ssh登录到设备终端；s5：设备端通过ca公钥文件校正客户端的提供的公钥签名文件是否合法，如合法则接受客户端连接请求，如不合法则拒绝请求。

4、进一步地，在步骤s1中，ca端使用openssl工具，将从自签证书文件中提取出的pkcs8格式的公钥文件转换为ssh支持的ssh-rsa格式的公钥文件。

5、进一步地，在步骤s1中，设备终端在接收到ca端发送的ca自身的公钥文件之后，将该公钥文件加载到受信任的证书列表中，如ssh中的trustedusercakeys。

6、进一步地，在步骤s2中，客户端使用openssl genrsa生成私钥文件和证书签名请求文件，并将该证书签名请求文件发送至ca端，由ca端验证签名文件无误后颁发客户端证书文件client.crt。

7、进一步地，在步骤s3中，ca端使用自己的私钥文件，对从客户端证书文件中提取出的ssh-rsa格式的公钥文件进行二次签发，以生成通用的非对称加密公钥签名文件。

8、进一步地，在步骤s3中，ca端在进行二次签发的同时，指定签发公钥的有效期。

9、本发明的技术方案还提供了一种基于openssl ca证书的ssh免密登录系统，其特征在于，包括：ca端、客户端和设备终端，其中，所述系统按照如下步骤实现客户端至设备终端的免密登录，且一次性授权登录所有设备：s1：ca端采用openssl自签证书，构建为私有ca，然后生成自签证书文件并从该自签证书文件中提取属于ca自身的公钥文件，并将该ca自身的公钥文件发送至设备终端；s2：客户端向ca端发送证书签名请求文件，ca端从证书请求文件中检验请求文件是否合法，如合法则接受客户端签名请求，如不合法则拒绝；s3：ca端通过对提取出的客户端公钥文件使用自签证书进行二次签发，生成通用的非对称加密公钥签名文件，并将该签名文件返回至客户端；s4：客户端保存接收到的公钥签名文件以及相对应的私钥文件，并在后续需要登录设备终端时，使用公钥证书、签名以及私钥文件，免密ssh登录到设备终端；s5：设备端通过ca公钥文件校正客户端的提供的公钥签名文件是否合法，如合法则接受客户端连接请求，如不合法则拒绝请求。

10、进一步地，在步骤s1中，ca端使用openssl工具，将从自签证书文件中提取出的pkcs8格式的公钥文件转换为ssh支持的ssh-rsa格式的公钥文件。

11、进一步地，在步骤s1中，设备终端在接收到ca端发送的ca自身的公钥文件之后，将该公钥文件加载到受信任的证书列表中，如ssh中的trustedusercakeys。

12、进一步地，在步骤s2中，客户端使用openssl genrsa生成私钥文件和证书签名请求文件，并将该证书签名请求文件发送至ca端，由ca端验证签名文件无误后颁发客户端证书文件client.crt。

13、进一步地，在步骤s3中，ca端使用自己的私钥文件，对从客户端证书文件中提取出的ssh-rsa格式的公钥文件进行二次签发，以生成通用的非对称加密公钥签名文件。

14、进一步地，在步骤s3中，ca端在进行二次签发的同时，指定签发公钥的有效期。

技术特征：

1.一种基于openssl ca证书的ssh免密登录方法，其特征在于，包括如下步骤：

2.根据权利要求1所述的方法，其特征在于，在步骤s1中，ca端使用openssl工具，将从自签证书文件中提取出的pkcs8格式的公钥文件转换为ssh支持的ssh-rsa格式的公钥文件。

3.根据权利要求2所述的方法，其特征在于，在步骤s1中，设备终端在接收到ca端发送的ca自身的公钥文件之后，将该公钥文件加载到受信任的证书列表中，如ssh中的trustedusercakeys。

4.根据权利要求3所述的方法，其特征在于，在步骤s2中，客户端使用openssl genrsa生成私钥文件和证书签名请求文件，并将该证书签名请求文件发送至ca端，由ca端验证签名文件无误后颁发客户端证书文件client.crt。

5.根据权利要求4所述的方法，其特征在于，在步骤s3中，ca端使用自己的私钥文件，对从客户端证书文件中提取出的ssh-rsa格式的公钥文件进行二次签发，以生成通用的非对称加密公钥签名文件。

6.根据权利要求5所述的方法，其特征在于，在步骤s3中，ca端在进行二次签发的同时，指定签发公钥的有效期。

7.一种基于openssl ca证书的ssh免密登录系统，其特征在于，包括：ca端、客户端和设备终端，其中，所述系统按照如下步骤实现客户端至设备终端的免密登录，且一次性授权登录所有设备：

8.根据权利要求7所述的系统，其特征在于，在步骤s1中，ca端使用openssl工具，将从自签证书文件中提取出的pkcs8格式的公钥文件转换为ssh支持的ssh-rsa格式的公钥文件。

9.根据权利要求8所述的系统，其特征在于，在步骤s1中，设备终端在接收到ca端发送的ca自身的公钥文件之后，将该公钥文件加载到受信任的证书列表中，如ssh中的trustedusercakeys。

10.根据权利要求9所述的系统，其特征在于，在步骤s2中，客户端使用openssl genrsa生成私钥文件和证书签名请求文件，并将该证书签名请求文件发送至ca端，由ca端验证签名文件无误后颁发客户端证书文件client.crt。

11.根据权利要求10所述的系统，其特征在于，在步骤s3中，ca端使用自己的私钥文件，对从客户端证书文件中提取出的ssh-rsa格式的公钥文件进行二次签发，以生成通用的非对称加密公钥签名文件。

12.根据权利要求11所述的系统，其特征在于，在步骤s3中，ca端在进行二次签发的同时，指定签发公钥的有效期。

技术总结本发明公开一种基于OpenSSL CA证书的SSH免密登录方法和系统，该方法包括如下步骤：S1：CA端采用OpenSSL自签证书，构建为私有CA，然后生成自签证书文件并从该自签证书文件中提取属于CA自身的公钥文件，并将该CA自身的公钥文件发送至设备终端；S2：客户端向CA端发送证书签名请求文件，CA端从证书请求文件中检验请求文件是否合法，如合法则接受客户端签名请求，如不合法则拒绝；S3：CA端通过对提取出的客户端公钥文件使用自签证书进行二次签发，生成通用的非对称加密公钥签名文件，并将该签名文件返回至客户端；S4：客户端保存接收到的公钥签名文件以及相对应的私钥文件，并在后续需要登录设备终端时，使用公钥证书、签名以及私钥文件，免密ssh登录到设备终端；S5：设备端通过CA公钥文件校正客户端的提供的公钥签名文件是否合法，如合法则接受客户端连接请求，如不合法则拒绝请求。本发明使用CA签发的公钥证书实现SSH免密登录设备终端，同时确保在客户端与设备终端进行远程登录和交互时实现数据安全加密。技术研发人员：何弢,廖文龙,任松颀,彭昌杰受保护的技术使用者：酷哇科技有限公司技术研发日：技术公布日：2024/7/29